W wyroku z 1 października 2015 Trybunał Sprawiedliwości UE orzekł, e osoby, których dane osobowe są przekazywane pomiędzy dwoma organami administracji publicznej państwa członkowskiego i przetwarzane muszą być wcześniej o tym poinformowane.

Dyrektywa w sprawie przetwarzania danych osobowych¹ reguluje przetwarzanie danych osobowych w sytuacji, gdy stanowią one część zbioru danych lub mają stanowić jego część.

Smaranda Bara i wielu innych obywateli Rumunii pracują na własny rachunek. Rumuński organ administracji podatkowej przekazał informacje o dochodach zgłoszonych przez te osoby krajowej kasie ubezpieczeń zdrowotnych, która zażądała wpłaty zaległych składek na rzecz systemu ubezpieczeń zdrowotnych.

Osoby, o których mowa, zaskarżyły do Curtea de Apel Cluj (sądu apelacyjnego w Klużu, Rumunia) zgodność z prawem tego przekazania w świetle dyrektywy. Osoby te uważają, że ich dane zostały wykorzystane do celów innych niż cele, w jakich pierwotnie ujawniono je organowi administracji podatkowej, bez wcześniejszego poinformowania ich o tym.

Prawo rumuńskie umożliwia podmiotom publicznym przekazywanie danych osobowych kasom ubezpieczeń zdrowotnych w celu umożliwienia im ustalenia statusu osoby ubezpieczonej względem osób, których dane dotyczą. Dane te służą identyfikacji osób (imię, nazwisko i adres), lecz nie obejmują informacji o uzyskiwanych dochodach.

W tym kontekście Curtea de Apel Cluj zwrócił się w istocie do Trybunału Sprawiedliwości o ustalenie, czy prawo Unii stoi na przeszkodzie temu, aby organ administracji publicznej państwa członkowskiego przekazywał dane osobowe innemu organowi administracji publicznej w celu ich dalszego przetwarzania, bez informowania osób, których dane dotyczą o tymże przekazaniu i przetwarzaniu.

W ogłoszonym dzisiaj wyroku Trybunał Sprawiedliwości stwierdził, że wymóg rzetelnego przetwarzania danych osobowych zobowiązuje organ administracji publicznej do informowania osób, których dane dotyczą, że ich dane zostaną przekazane innemu organowi administracji publicznej w celu ich przetworzenia przez ów drugi organ będący odbiorcą tych danych. Dyrektywa wyraźnie wymaga, aby wszelkie ewentualne ograniczenia obowiązku informowania były przyjmowane w drodze ustawodawczej.

Rumuńska ustawa przewidująca nieodpłatne przekazywanie danych osobowych kasom ubezpieczeń zdrowotnych nie stanowi wcześniejszego poinformowania, które pozwalałoby na zwolnienie administratora danych z obowiązku poinformowania osób, od których uzyskuje dane. Wspomniana ustawa nie określa bowiem ani informacji, jakie mogą być przekazywane, ani zasad ich przekazywania, jako że znajdują się one jedynie w dwustronnym protokole zawartym pomiędzy organem administracji podatkowej i kasą ubezpieczeń zdrowotnych.